Sélection de la langue

Government of Canada / Gouvernement du Canada

Avis aux lectrices et aux lecteurs

Cette publication ne répond pas actuellement aux normes Web du gouvernement du Canada. Les informations restent valables.

Alerte - Rançongiciel – WannaCry

De : Centre canadien pour la cybersécurité

Numéro : AL17-006
Date : Le 15 mai 2017

Objet

La présente alerte a pour but d’attirer l’attention sur une campagne de rançongiciels de grande envergure et de fournir des directives et des conseils en matière d’atténuation des risques.

Évaluation

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) a été informé de l’existence d’une campagne de rançongiciels de grande envergure. Baptisée « Wcry », « Wana », « Wcrypt », a« wannacrypt », « WanaDecryptor » ou « WanaCry », cette campagne déjà fait des victimes au sein de nombreuses organisations partout dans le monde. Le CCRIC continue de collaborer avec ses partenaires au pays et à l’étranger afin d’en mesurer les répercussions au Canada et de fournir des directives et de conseils en matière d’atténuation des risques.

Un rançongiciel peut avoir de graves conséquences pour les personnes, les entreprises, les infrastructures essentielles et les gouvernements. En plus de perdre l’accès à ses renseignements de nature délicate ou exclusive, la victime doit également composer avec des activités courantes profondément perturbées, et son organisation risque d’essuyer de lourdes pertes financières et de voir sa réputation irrémédiablement entachée.

La campagne de rançongiciels WannaCry exploiterait la vulnérabilité décrite dans le bulletin de sécurité Microsoft MS17-010 pour se propager dans le réseau au moyen du protocole SMBv1. Le maliciel pourrait alors infecter d’autres appareils connectés au même réseau s’ils ne sont pas protégés par un correctif.

Le CCRIC recommande fortement de ne pas payer la rançon exigée, puisque rien ne garantit que l’auteur supprimera le chiffrement par la suite. En outre, le déchiffrement des fichiers ne signifie pas que l’infection elle-même a été supprimée.

Mesures Recommandées

Le CCRIC recommande aux organisations de prendre connaissance des mesures d’atténuation suivantes et d’envisager de les mettre en œuvre en fonction de leur environnement réseau. De plus, des indicateurs de compromission, y compris une signature Yara, et une analyse de la menace sont disponibles auprès de l’équipe d’intervention en cas d’urgence informatique des États-Unis (US-CERT). Voir le lien URL plus bas.

Conseils au sujet de la propagation par le protocole SMBv1

  • Installer le correctif de Microsoft pour la vulnérabilité SMB MS17-010, daté du 14 mars 2017.
  • Microsoft a publié un nouveau correctif destiné à ses anciennes plateformes d’exploitation, disponible à l’adresse https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks.
  • Si le correctif ne peut être installé, envisager de désactiver le protocole SMBv1 ou de bloquer les ports SMBv1 sur les appareils connectés au réseau [ports UDP 137 et 138, ainsi que TCP 139 et 445].  Directives disponibles à l’adresse https://support.microsoft.com/fr-ca/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012.
  • Bloquer les ports SMBv1 au périmètre du réseau pour empêcher les connexions Internet entrantes de systèmes hôtes infectés.
  • Bloquer les connexions SMBv1 sortantes au périmètre du réseau pour empêcher ses propres systèmes hôtes de transmettre l’infection à d’autres réseaux externes.
  • Faires des sauvegardes quotidiennes de tous les systèmes essentiels, tenir à jour des copies hors sites et hors ligne des supports de sauvegarde et effectuez périodiquement des exercices de restauration à partir des copies de secours, y compris les bases de données principales, pour assurer l’intégrité des sauvegardes et des processus en place.
  • Le centre national de cybersécurité NCSC du R.-U. a partagé des conseils récents en matière d’atténuation des menaces d’attaques par DNS en lien avec la campagne WannaCry dans une publication en ligne intitulée « Ransomware: Latest NCSC Guidance ». Voir le lien URL plus bas.
  • S’assurer que les antivirus et les outils de protection des passerelles sont à jour.

Conseils généraux pour atténuer les vecteurs d’infection courants dans les courriels :

  • Analyser les courriels entrants et sortants au moyen d’un antivirus pour y relever la présence de menaces et pour empêcher des fichiers exécutables d’atteindre l’utilisateur final.
  • Ne jamais ouvrir un lien ou un fichier joint dans un courriel si ce dernier provient d’une source inconnue ou non fiable. Vérifier soigneusement l’adresse de l’expéditeur, qui pourrait imiter une adresse de courriel légitime conçue spécialement pour tromper la vigilance du destinataire.
  • La plupart des attaques de cette nature sont détectées par des utilisateurs diligents et bien informés. Le CCRIC recommande aux organisations d'informer leur personnel de la situation actuelle, notamment comment signaler au personnel de la sécurité de la TI tout courriel suspect ou inhabituel. Une révision des politiques et exigences ministérielles, ainsi qu’une formation ou sensibilisation à la sécurité, peut aider à atténuer ce risque.

Références :

 

Date de modification :